Abo
  • Services:

Ein eigenes Breakout-Board aus dem Hackerspace des Vertrauens

Um den Speicher auszulesen, entwarf Bazanski ein eigenes Breakout-Board, mit dem die Kontakte des Speichers angesteuert werden. Wenn man sich am Rechner mit einem Programm wie Kicad ein entsprechendes Design anfertigt, könne man das Board in vielen Hackerspaces ätzen lassen, sagt er. Die Kosten dafür betrügen rund 25 Euro, zu Hause sei aber weiteres Equipment notwendig, wie etwa ein Lötkolben, eine Heißluftpistole und wenn nötig etwas Alkohol, für eine ruhige Hand.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Traunreut
  2. Rodenstock GmbH, München

Im nächsten Schritt werden dann die Daten ausgelesen, um eine Analyse des Bios am PC vorzunehmen. Dazu analysierten die beiden Hacker zunächst das Speicherlayout und die Schreiboperationen. Den Code des Bios analysierten die Hacker dann mit dem Decompiler Ida. Intels Handbuch für den verwendeten Prozessor lieferte weitere Hinweise.

Speichermodi von 8086-Prozessoren studieren

Etwa, dass nach einem Reset des Prozessors die Register in einen bekannten Zustand versetzt würden und im Real Mode liefen - also ohne Zugriffsschutz für den Speicher. Auch moderne Prozessoren starten meist noch in diesem Modus, schalten aber zur Vermeidung von Angriffen während des Bootvorgangs in den Protected Mode mit einem virtuellen Speichermanagement, das keinen direkten Zugriff auf physische Speicheradressen ermöglicht.

So begann die Suche nach den Instruktionen für die Passwortabfrage und den Challenge/Response-Mechanismus. Für die Organisation der Abarbeitung von Instruktionen zuständig ist der Extended Instruction Pointer. Es gilt also, das entsprechende Kommando zu finden.

Nach Angaben von Bazanski und Kowalczyk liegt die Adresse des Extended Instruction Pointer (EIP), einem Register in Intels X86-Prozessoren, nach dem Start auf 0000FF0H, das zugewiesene Code-Segment (CS) im 16-Bit-Speicherraum ist FFFF0000H. Zusammen ergebe dies die Adresse 0x FFFFFFF0. Da das A20-Gate aktiviert ist, liegt die angegebene Adresse hinter den eigentlich verfügbaren 20 8086-Registern. Es liegt also eine Speichererweiterung nach dem Unreal Mode vor.

Das Bios läuft nach dem Start im 16-Bit-Protected-Mode, unterstützt aber den Unreal Mode, um mehr Speicher adressieren zu können. Über Umwege ist es daher möglich, trotz virtualisiertem Speicher auf physische Speicheradressen zuzugreifen. Für die Analyse des Codes ist es jedoch notwendig, die richtige Zuordnung des erweiterten Speichers zu finden.

Das wiederum macht den Zugriff auf den Global Descriptor Table notwendig. Darin werden Speicherbereich und Gates verwaltet. Doch wie können die notwendigen Informationen beschafft werden?

Dazu nutzten die Hacker den von Ida ausgegebenen Pseudocode für die Passwortabfrage. Alle Anfragen nach dem Response-Code landen in der Funktion f(in_buf) → out_buf. Die Analyse ergab, dass die Funktion alle Bytes an die I/O-Ports 62h und 66h sendet. Das Handbuch der Southbridge verrät, dass diese Ports an einen Mikrocontroller weitergeleitet werden, im konkreten Fall ein Embedded Controller (EC) vom Typ Renesas M306K9FC LRP. Dieser ist über einen seriellen Bus (LPC) mit der Southbridge verbunden.

Für eine genauere Analyse musste also der Inhalt eines weiteren Chips ausgelesen werden, weil für den untersuchten Rechner keine Updates für den EC existieren.

 Toshiba-Notebooks: Reverse-Engineering mit Lötkolben und PseudocodeDer Lötkolben kommt erneut zum Einsatz 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. ab 119,98€ (Release 04.10.)
  3. 309€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)

0xDEADC0DE 12. Feb 2018

Closed Source ist Software hauptsächlich, weil der Hersteller etwas daran verdienen...

0xDEADC0DE 12. Feb 2018

Darfst net mich fragen... ich hatte damit auch keine Probleme.

p4m 11. Feb 2018

Hier geht es eher um den Weg als um die Lösung. Findet man in der Mathematik auch öfter...

d0351t 10. Feb 2018

Dem schließe ich mich auch an. Ein angenehm zu lesender Artikel. Sehr interessant. Mit...

derdiedas 10. Feb 2018

Danke, ich finde die Richtung die Golem geht richtig gut. So gestaltet man eine...


Folgen Sie uns
       


Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Reflections Raytracing Demo auf einer Nvidia Geforce RTX 2080 Ti und auf einer GTX 1080 Ti ablaufen lassen.

Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
    iPhone Xs, Xs Max und Xr
    Wer unterstützt die eSIM in den neuen iPhones?

    Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
    Von Tobias Költzsch

    1. Apple Das iPhone Xr macht's billiger und bunter
    2. Apple iPhones sollen Stiftunterstützung erhalten
    3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

    Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
    Oldtimer-Rakete
    Ein Satellit noch - dann ist Schluss

    Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
    Von Frank Wunderlich-Pfeiffer

    1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
    2. Chang'e 4 China stellt neuen Mondrover vor
    3. Raumfahrt Cubesats sollen unhackbar werden

      •  /